互联网企业网络安全架构摘录（转）

在北京雅虎两年，杭州阿里集团三年，进行了很多次面试、招聘。发现博士大多数是 在做神经网络、人工智能，硕士一般在搞可信计算、linux下的溢出分析保护，当然，这几年多了些在实验室搭建几台ubuntu、XEN搞云计算的。本科 生则以windows下面的二进制行文分析、基于snort改装的IDS之类项目为主。接触过实战的，主要分为两类，web系列的，和溢出破解系列的。

在甲方做事情，要习惯能用技术搞定的都不是问题，人才是问题。解决这种问题，有五大法宝，策略、标准、流程、复核，以及行政处罚，五大法宝是互相协调不可分割的，贯穿其中的是良好的沟通。

策略，就是“法律”，明确的描述出什么事情是不可以做的，做了之后会有什么样的后果，导致什么样的处罚。好的策略，一定要多方面的沟通，IT、SA、NET OPS（Network Operation）、APP OPS（Application Operation）、DEV、QA各个部门都要照顾到沟通到，了解他们日常工作中的做法，在此基础上以提升安全性为目标做一些修订。策略描述可否，不涉 及到具体事情的操作细节。

相比策略而言，标准就是操作细节，类似于卫生部公布的《老年人跌倒干预技术指南》。对照来看，策略里面包含服务器上线策略，里面可能规定操作系统要进行安 全加固配置，那么，标准里面就应该包括企业常用的各种OS加固标准，明确加固一步一步应该怎么做，让新手可以按照标准中的描述顺利完成整个加固过程。当 然，好的标准还可以提供实施的自动化工具，帮助操作者自动化完成某些工作。标准需要尽可能做到完善，从底层的OS加固，到上层的WEB代码的编写，到员工 离职后的IT部门的操作，都需要涵盖到。

流程的主要作用是用来保证安全部门的各项策略在部门间顺利执行，流程的每一步，都涉及到一个或多个标准。同时，流程需要注意单点问题，每一个关键的步骤，都需要有多个人员备份。

因为执行者是有感情的人，甚至可能因为前一天晚上没爽到导致第二天执行流程审批的时候一疏忽就放过去一个不应该批准的申请。因此，我们需要最后一步，复核。

只是行政处罚一定要非常慎重使用，这个属于大杀器。

我的观点是安全部门的责任是明确的告诉大家如何不犯法，并且提供各种手段保证大家尽可能不犯法。最后对于出现的不好行为，做到有法可依，有法必依，执法必严，违法必究。（http://www.icylife.net/yunshu/show.php?id=817）